Tag: Cybersecurity

Vol. 1 No. 20250905-919 (2025)

A Importância de Categorizar Vulnerabilidades

João Paulo Gonsales | jgonsales@cylo.com.br | 05/09/2025

Com o aumento do número de vulnerabilidades descobertas diariamente, conhecer e saber categoriza-las no ambiente que está sendo gerenciado pela equipe de segurança se torna uma medida importante para mitigar os riscos de segurança em um ambiente de T.I.   

A etapa da categorização das vulnerabilidades se torna fundamental para a equipe realizar a gestão do risco de forma eficiente e estruturar as ações de defesa do ambiente. Entendendo o que elas representam e seu potencial impacto, conseguimos elaborar um plano de ação mais eficiente e priorizar as ações de defesa. 

Para ajudar na categorização, podemos utilizar alguns indicadores padrões de mercado que vão nos ajudar a direcionar o esforço, por exemplo o CVSS e o EPSS. 

O CVSS (Common Vulnerability Scoring System), é um indicador padrão utilizado para medir a severidade de vulnerabilidades com um sistema de pontuação padronizado para avaliar e realizar a comparação da gravidade das vulnerabilidades de segurança, aplicando medidas quantitativa para medir o potencial de impacto da vulnerabilidade. 

O CVSS atribui pontuações numéricas com base em diferentes métricas, onde este cálculo ajuda a equipe de segurança a priorizar os seus esforços para a correlação de vulnerabilidades e apoiar para uma melhor tomada de decisão para correção ou mitigação das vulnerabilidades. 

Para realizar o seu cálculo, o CVSS, vamos exemplificar baseado na versão 3.X, utiliza algumas métricas como principais, como métricas de Base, Temporal e Ambiental. Cada métrica possui características diferentes e um peso no cálculo da pontuação da CVSS. 

  •  Métrica de Base são métricas onde são avaliados o potencial dano que a vulnerabilidade pode causar no ambiente, facilidade de exploração e a complexidade do atacante conseguir realizar o ataque bem sucedido. 
  • Métrica Temporal são métricas onde são avaliados a evolução da vulnerabilidade ao longo do tempo, podendo incluir algumas características que são considerados no calculo da sua pontuação, como a maturidade do exploit, facilidade da sua correção, confiabilidade da fonte da informação e a quantidade de evidencias disponíveis. 
  •  Métrica Ambiental são métricas relacionadas a importância do impacto real para a organização em particular, baseadas em controles de mitigação que podem existir no ambiente para reduzir ou aumentar o impacto da vulnerabilidade ser explorada no ambiente. 

      Fig. 1 – Exemplo – Calculadora CVSS V3.0 –   Common Vulnerability Scoring System Version 3.0 Calculator 

Diante do número elevado de CVSS dos ambientes e com as equipes de segurança enfrentando uma grande dificuldade para priorizar as correções. Um grupo de pesquisadores do FIRST (Forum of Incident Response and Security Teams – https://www.first.org/about/), pensando em resolver esse problema, desenvolveu o EPSS, um modelo para calcular informações sobre exploração das vulnerabilidades e apoiar no direcionamento melhor das ações de correção de vulnerabilidades pela equipe.

EPSS (Exploit Prediction Scoring System), fornece um “score” que é um indicador baseado em dados do CVSS para estimar a probabilidade de uma vulnerabilidade de software estar sendo explorada ativamente no ambiente, cujo seu objetivo, é auxiliar a equipe de segurança a priorizar os esforços de correção de vulnerabilidades com base no EPSS score. 

O EPSS fornece uma perspectiva mais dinâmica e contextual, permitindo que as equipes priorizem vulnerabilidades que estão ativamente sendo exploradas, mesmo que tenham um score no CVSS baixo. 

Correlacionando dados de CVSS + EPSS e aplicando inteligencia artificial, concluimos o valor do “Score EPSS”, um indicador mais robusto para a categorização de vulnerabilidades, onde podemos exemplificar conforme informações abaixo : 

  • CVSS alto + EPSS alto = prioridade máxima 
  • CVSS alto + EPSS baixo = monitoramento e mitigação planejada 
  • CVSS baixo + EPSS alto = atenção especial, pois pode indicar ataques em andamento 
  • CVSS baixo + EPSS baixo = menor prioridade

EPSS Score – https://www.first.org/epss/data_stats

Com essa informação, conseguimos que as equipe realizem uma gestão de risco mais inteligente, baseada não apenas em um unico indicador, mas também relacionando com a probabilidade real de ataque. 

Categorizar as vulnerabilidades com base em métricas como CVSS e EPSS é essencial para uma resposta proativa e eficiente às ameaças cibernéticas. Em vez de reagir a cada alerta, as organizações podem tomar decisões assertivas, proteger seus ativos mais críticos e manter a confiança de seus clientes e parceiros. 

Vol. 1 No. 20250822-852 (2025)

Dever de casa. TOP!

Anísio José Moreira Neto | anisio@cylo.com.br | 22/08/2025

Você já testou se sua empresa está realmente preparada para os desafios da Internet moderna?

O site TOP – Teste os Padrões é uma iniciativa do NIC.br que avalia se os serviços digitais — como sites, e-mails e conexões — estão em conformidade com os padrões técnicos mais modernos e seguros da Internet. Esses padrões incluem tecnologias como IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS, DANE, entre outros.

Por que isso importa para sua empresa?

  • Segurança: Adotar esses padrões reduz vulnerabilidades e protege contra ataques como phishing, spoofing e interceptação de dados.
  • Confiabilidade: Serviços que seguem os padrões modernos são mais estáveis e confiáveis, transmitindo mais confiança aos clientes e parceiros.
  • Reputação digital: Estar em conformidade com os testes do TOP é um sinal claro de compromisso com boas práticas de TI e segurança da informação.
  • Competitividade: Empresas que investem em infraestrutura moderna se destacam no mercado e estão mais preparadas para escalar seus serviços.

Hora de fazer o dever de casa

A ferramenta é gratuita e fácil de usar. Basta inserir o domínio do seu site ou serviço de e-mail e verificar os resultados. Se algo estiver fora do padrão, o TOP ainda indica o que pode ser feito para corrigir.

Aqui na CYLO, fizemos o dever de casa, somos TOP! Isso reforça nosso compromisso com a excelência e com a Cybersegurança.

Vol. 1 No. 20250815-763 (2025)

Chave privada em repositório Git

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 15/08/2025

Recentemente, estava explorando o repositório GitHub de um framework que utilizo para desenvolvimento. Observando modificações recentes, me deparei com um commit que me deixou inicialmente muito confuso: uma chave privada, aparentemente utilizada para assinar o pacote de instalação do framework, havia sido adicionada aos arquivos do repositório.

Felizmente, após inspecionar a chave pública acompanhante, revelou-se que a chave foi credenciada para o domínio yourdomain.com. Comentando isso com um colega de trabalho, ele me instruiu que isso é, na verdade, algo relativamente comum: adicionar arquivos com uma chave de exemplo ao repositório para que a estrutura de arquivos fique completa. Adicionalmente, em alguns casos (como desenvolvimento de aplicações web), é possível utilizar esse certificado no ambiente de desenvolvimento local redirecionando o domínio de exemplo para o local host via alteração do arquivo hosts.

Digo que fiquei aliviado descobrindo que a adição da chave ao repositório foi, muito provavelmente, intencional e não impõe um risco de segurança ao projeto (é um dos meus frameworks favoritos). Reconheço que acidentes, especialmente quanto a adição de arquivos no Git que não deveriam ser adicionados, acontecem. Inúmeras vezes já ansiosamente executei git add .; git commit -m "..." no terminal, descobrindo somente depois que havia algum artefato de compilação, ou arquivo de cache (estou olhando para você, mypy), esquecido no diretório do projeto que agora havia sido imortalizado no repositório pela execução precoce do comando. Como diz o ditado, “once in git, always in git”.

Hoje em dia sou moderadamente mais cauteloso e ademais, grato pelas abençoadas almas que dispõem modelos de .gitignore na web. Porém, pessoalmente não julgo cautela como suficiente! Utilizo no meu desenvolvimento o pre-commit, uma ferramenta que realiza verificações automáticas antes de toda modificação de arquivos em um repositório Git. Incidentalmente, um dos plugins disponibilizados por padrão pela ferramenta possui um teste que previne o commit acidental de uma chave privada.

Referências

  • pre-commit. Disponível em: <https://pre-commit.com/>.
  • pre-commit/pre-commit-hooks. Disponível em: <https://github.com/pre-commit/pre-commit-hooks>.

Vol. 1 No. 20250814-855 (2025)

O PwdLastSet pode confundir?

João Fuzinelli | joao@cylo.com.br | 14/08/2025

Trabalhando em uma resposta a um incidente onde o Domain Admin foi comprometido, comecei a fazer um levantamento do campo PwdLastSet no Active Directory Domain Services com o objetivo de identificar, logicamente, os usuários que realizaram trocas de senhas antes e/ou durante o incidente. Sendo assim, me surgiu uma dúvida:

O atributo PwdLastSet pode ser alterado?

Primeiro, vamos a definição:

A data e a hora em que a senha dessa conta foi alterada pela última vez. Esse valor é armazenado como um inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1º de janeiro de 1601 (UTC). Se esse valor for definido como 0 e o atributo User-Account-Control não contiver o sinalizador UF_DONT_EXPIRE_PASSWD, o usuário deverá definir a senha no próximo logon.

FONTE: https://learn.microsoft.com/en-us/windows/win32/adschema/a-PwdLastSet

Partimos para um laboratório onde subi um Active Directory Domain Services sobre um Windows Server 2022. Criei um usuário chamado lab.user com uma senha definida. O campo pwdLastSet adicionou as informações de data, hora e GMT configuradas no sistema operacional

Aí vem o teste. A primeira coisa que tentei foi adicionar um epoch time no usuárioporém sem sucesso em um script powershell.

Verificando a documentação entendi que é possível setar duas flags o 0 indicando que a senha nunca foi trocada e o -1 que utiliza do tempo atual.

O script e os resultados

OBS.: O script apresentado neste artigo é destinado exclusivamente para fins educativos e de aprendizado. Não nos responsabilizamos pelo uso indevido, aplicação em contextos não autorizados ou quaisquer consequências decorrentes da utilização deste código. Recomendamos que os leitores utilizem o script de forma ética e em conformidade com todas as leis e regulamentos aplicáveis.

Import-Module ActiveDirectory
    Import-Module ActiveDirectory
    Set-ADUser -Identity "lab.user" -Replace @{PwdLastSet="0"}
    Get-ADUser -Identity lab.user -Properties PasswordLastSet
Utilizando 0 como flag
Import-Module ActiveDirectory
    Import-Module ActiveDirectory
    Set-ADUser -Identity "lab.user" -Replace @{PwdLastSet="-1"}
    Get-ADUser -Identity lab.user -Properties PasswordLastSet
Adicionando -1 como flag

Entendo que existem outros campos como WhenChanged que podem ser utilizados para investigação porém o que me trouxe até aqui foi quanto isso poderia ser confuso para quem está respondendo ao incidente de cibersegurança

Vol. 1 No. 20250813-850 (2025)

Na descrição…

Anísio José Moreira Neto | anisio@cylo.com.br | 13/08/2025

´É só um desabafo.

Sim, ainda tem lugares com a senha na descrição da conta de usuário, qual o problema? Afinal, são apenas Domain Admins.

Sim, mais de um.

Preciso ir descansar, noite pesada, boa noite.

Vol. 1 No. 20250717-774 (2025)

Os perigos de utilizar hotspot não autorizados no ambiente corporativo 

João Paulo Gonsales | jgonsales@cylo.com.br | 17/07/2025

Frequentemente analisamos um tipo de alerta preocupante : colaboradores dentro do ambiente corporativo compartilhando a internet móvel não autorizado com um dispositivo empresarial, criando com os seus dispositivos hotspots móveis e não autorizados pela organização. Embora possa parecer uma solução inofensiva ou um “atalho” para a conectividade, esse comportamento abre as portas para uma série de riscos graves que podem comprometer toda a segurança da sua organização.

Quando um hotspot móvel não autorizado é ativado, ele faz um bypass em diversas camadas de segurança da organização, é como se abríssemos uma “porta” não autorizada, favorecendo ameaças como ataques do tipo man-in-the-middle, risco para vazamento de dados ou outras ameaças, como um vírus, malware e até um Ransoware no ambiente.

Sobre os alertas analisados, notamos que durante a ação de compartilhar da conexão, criando um hotspot, o dispositivo conectado na rede recebe a faixa de IP 192.168.137.x, e por ser uma faixa de endereço privada e desconhecida dentro do ambiente , que a princípio gerou algumas dificuldades durante a analise, mas com o apoio da documentação da Microsoft e outros fatores presentes no log, verificamos que este endereço é um range padrão, atribuído pelo Windows e utilizado pelo serviço Compartilhamento de Conexão com a Internet (ICS).  

Conforme definido no learn da Microsoft, o serviço de ICS seria o driver atras de Wi-Fi pessoal que, por padrão, o ICS configura o seu computador (o host do hotspot) com o endereço IP 192.168.137.1 e após atribuir este IP, o serviço age como um servidor DHCP (Dynamic Host Configuration Protocol), atribuindo endereços IP aos dispositivos que se conectam ao hotspot, começando geralmente do 192.168.137.x.

Como mencionado acima, esta faixa de IP é de uma rede privada, designada para uso interno, o que significa que os endereços não são roteáveis diretamente na internet e utilizando a máscara padrão com o endereço 255.255.255.0, disponibilizando um range de 254 endereços IP para dispositivos conectados, tirando endereços de gateway e broadcast. 

Esta faixa de endereço pode ser alterado nas configurações do sistema, mas até o momento deste texto, os alertas analisados continham a faixa “padrão”, com o endereço IP 192.168.137.x. 

Por que esta faixa de IP específica? 

 A escolha da faixa 192.168.137.x foi uma convenção estabelecida pela Microsoft para o funcionamento do ICS, ela evita conflitos com outras redes já documentadas e utilizadas em ambientes domésticos ou corporativos (como as populares 192.168.0.x ou 192.168.1.x), garantindo que o seu hotspot possa operar sem problemas, independentemente da rede à qual seu computador principal está conectado. 

 Conexões rede origem e destino resolvendo DNS pelo 192.168.137.x 

Este tipo de ação no ambiente corporativo se torna muito preocupante, onde no cenário atual de flexibilidade no trabalho, onde o home office e os inúmeros dispositivos moveis pessoais no ambiente , gera preocupações de controle para estes dispositivos que, por um lado, a sua utilização pode ser “desculpa” para aumentar a produtividade, mas por outro lado, o mesmo pode ser utilizado para tentar quebrar os controles de segurança de rede dentro das empresas, e com essa pratica, as vezes inocente por parte de quem está utilizando, compromete os controles de segurança da informação e eleva os riscos significativos para a infraestrutura da empresa. 

Para mitigar e melhorar os controles para estes dispositivos, podemos adotar praticas que vão além do monitoramento, como a definição de políticas claras de PSI, implantando a sua conscientização, treinamento para os colaboradores e adoção de ferramentas de MDM (Gerenciamento de Dispositivos Móveis), onde com este recurso podemos aplicar políticas de segurança para os dispositivos moveis, monitorar e controlar o uso de dispositivos corporativos, incluindo a capacidade de criar hotspots.

 Referências :

Vol. 1 No. 20250612-636 (2025)

Como o Ransomware se Espalha Dentro da Sua Rede

Pedro Brandt Zanqueta | pedro@cylo.com.br | 12/06/2025

Ajudando em uma resposta a incidente, recentemente tivemos que lidar com um determinado grupo de ransomware que atrapalhou uma empresa por um período. Com isso decidi detalhar como geralmente um ataque ocorre.

Ponto de partida

Imagine uma manhã comum na sua empresa. Os colaboradores chegam e iniciam suas atividades. Tudo parece normal até que, um e-mail aparentemente inofensivo chega à caixa de entrada de um colaborador do setor financeiro. O assunto é: “Nota Fiscal em Atraso – URGENTE”. Sem nem desconfiar, o funcionário clica no anexo.

O anexo executa um script em PowerShell, que baixa e executa um payload malicioso. Em segundos, o atacante já acesso à rede. Mas o objetivo não é apenas comprometer uma máquina é paralisar a empresa inteira. E para isso, o ransomware precisa se espalhar.

Descoberta do ambiente

Antes de se mover, o atacante precisa entender o ambiente. Ele começa com técnicas de reconhecimento interno. Utiliza comandos para descobrir sistemas remotos, identificar conexões de rede, e localizar compartilhamentos acessíveis.

Com essas informações em mãos, o atacante sabe exatamente onde estão os servidores de arquivos, os controladores de domínio e as estações mais críticas.

Movimentação lateral

Para se mover lateralmente, o atacante precisa de credenciais. Com Mimikatz usa para extrair senhas da memória do processo LSASS. Se tiver sorte, encontra credenciais de administradores de domínio. Caso contrário, ele pode recorrer a ataques de força bruta ou password spray para comprometer outras contas.

Usando ferramentas como PsExec ou WMI, o ransomware começa a se espalhar. Ele cópia seus arquivos para máquinas remotas usando compartilhamentos administrativos e executa o payload silenciosamente.

Se encontrar vulnerabilidades conhecidas, como EternalBlue, ele pode explorá-las diretamente, sem depender de credenciais.

Garantindo a Persistência

Para garantir que o ransomware continue ativo mesmo após reinicializações, o atacante cria tarefas agendadas ou serviços maliciosos.

Processo Final

Quando o atacante sente que já comprometeu o suficiente, ele inicia a fase final: a criptografia. Utilizando algoritmos robustos, o ransomware bloqueia arquivos em servidores, estações de trabalho e até backups conectados.

Em minutos, a empresa inteira está paralisada. Um aviso aparece nas telas: “Seus arquivos foram criptografados. Pague em Bitcoin para recuperá-los.”

Melhorias no ambiente

  • Segmentação de rede: impede que o atacante se mova livremente.
  • Monitoramento de credenciais: detecta uso anômalo de contas.
  • Atualizações regulares: fecham portas exploradas por vulnerabilidades.
  • Treinamento de usuários: reduz o risco de phishing.
  • Soluções de segurança avançadas: como EDRs e SIEMs, ajudam a detectar e responder rapidamente.

Conclusão

O ransomware não é apenas um vírus que aparece do nada. Ele é o resultado de uma cadeia de ações cuidadosamente planejadas.

A pergunta não é se sua empresa será alvo, mas quando. E quando isso acontecer, o quão preparado você estará?

Vol. 1 No. 20250530-596 (2025)

A importância do SOC na Cibersegurança.

João Paulo Gonsales | jgonsales@cylo.com.br | 30/05/2025

Durante um treinamento recente em Cibersegurança, focado em “Foundations of Incident Management”, entre muitos temas importantes abordados no treinamento, um ponto crucial se destacou: a importância de uma resposta rápida e coordenada a eventos de Segurança da Informação.

Em um cenário onde a tecnologia está em constante evolução, com a área de cibersegurança não seria diferente, a rápida evolução das ameaças e a forma de como os ataques cibernéticos são realizados, a segurança digital para as organizações deixou de ser um diferencial para se tornar uma necessidade e, uma pergunta que não podemos ignorar para as organizações é, “não é se a sua empresa será atacada ou não, mas quando. O ataque será efetivo?” Seguindo neste contexto, um Security Operations Center (SOC) se destaca como uma peça fundamental na estratégia de defesa para as organizações, adicionando uma camada de proteção no ambiente de tecnologia e se tornando essencial para uma melhor resiliência cibernética. 

Podemos definir o SOC como um centro especializado em segurança cibernética, responsável pelo monitoramento, detecção e resposta para incidentes de segurança. Utilizando tecnologias avançadas e composto por equipes de especialistas em cibersegurança, tecnologias em geral e processos, ele opera com o objetivo de identificar e responder as ameaças em tempo real, adicionando uma camada essencial para a resiliência cibernética das organizações e minimizando os riscos que possam causar danos significativos.  

Vamos relacionar um SOC como uma “torre de controle” com foco para a segurança da informação da sua empresa, onde com uma equipe especializada, são realizados a monitoração dos dados do ambiente,  comportamentos suspeitos , tráfego de rede, sistemas, aplicativos e dispositivos em busca de qualquer atividade suspeita. 

Oferecendo uma camada de proteção proativa, o trabalho e a importância de um SOC vai muito além da simples detecção de ameaças, onde podemos destacar um pouco mais das suas atividades ; 

  • Detecção rápida de eventos de segurança : Pesquisas indicam que o tempo médio de permanência de um invasor no ambiente de rede pode chegar em 200 dias ou mais antes de ser identificado e, conseguir garantir a capacidade de identificar a ameaça rapidamente é crucial. O SOC utiliza ferramentas avançadas para garantir uma rápida detecção, como a utilização de ferramentas de XDR, SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) para identificar padrões maliciosos, correlacionar eventos, automatizar e gerar alertas em tempo real para a equipe à possíveis ameaças, minimizando o tempo que um atacante tem para causar danos para as organizações. 

  RSA Conference 2022 – 2022_USA22_HTA-M05_01_Strong-Story-to-Tell-Top-10-Mistakes-by-Administrators-About-Remote-Work_1654099348955001KxG2.pdf 

  • Resposta a Incidentes : Quando um incidente ocorre, uma equipe bem coordenada faz toda a diferença na resposta do incidente, com um SOC estruturado e treinado, possuir um plano e treinamento para realizar a resposta de incidentes faz toda a diferença, os processos são rapidamente colocados em pratica, gerando a contenção e a erradicação da ameaça. Aplicar o plano de recuperação quando for necessário , realizar relatórios pós-incidente e a identificação da causa raiz, evitando futuras ocorrências. A falta de um plano de resposta eficiente pode levar a grandes perdas financeiras e gerar danos irreparáveis à reputação da empresa.  
  • Monitoração do ambiente 24hx7: Diferente de uma abordagem reativa, o SOC mantém um monitoramento constante, identificando ameaças comportamentais , processuais , físicas e evitando que vulnerabilidades sejam exploradas. Com a utilização de informações de threat intelligence, a detecção no estágio inicial faz toda a diferença para mitigar possíveis ataques. 
  • Políticas e Processos:  Uma equipe de SOC realiza o suporte durante o desenvolvimento da política de segurança da informação (PSI), planos de comunicação, planos de recuperação (backup e restore), apoio também em auditorias e fornecimento de relatórios, garantindo que os processos estabelecidos sejam seguidos para que tenhamos um aumento da postura de segurança do ambiente. 

Uma pesquisa disponibilizada pela empresa Palo Alto Networks, lider global em segurança cibernética, indicam números alarmantes para o Brasil. O pais tem sido um alvo frequente de ataques cibernéticos, sofrendo bilhões de tentativas de ataques no último ano e isso reforça a necessidade de manter um ambiente de segurança robusto. O apoio do SOC é fundamental nesta jornada e vem se tornando um elemento estratégico para as organizações.  

Referencias : 

Vol. 1 No. 20250509-262 (2025)

Quais as técnicas mais utilizadas por grupos de ransomware?

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 09/05/2025

Se proteção contra ataques de ransomware for um objetivo almejado, a análise das técnicas mais utilizadas para tal é um caminho para priorização de medidas de defesa. Em particular, no framework MITRE ATT&CK1, existem associações entre as técnicas nele documentadas e:

  1. Fontes de dados (Data Sources) configuráveis para monitoramento e CTI;
  2. Mitigações (Mitigations) para defesa direta; e
  3. Recursos (Assets) afetados (este, porém, exclusivamente para técnicas da matriz ICS.)

Para a análise de dados neste post, utilizei os dados disponibilizados por Ransomware.live2. Em particular, seu endpoint de grupos de ransomware consta com mapeamentos de táticas, técnicas e procedimentos (TTPs) para um subconjunto dos grupos.

Infelizmente a parcela de grupos com TTPs mapeadas constitui somente aproximadamente 7% de todos os grupos disponíveis pela API. Torço que com o tempo, mais grupos sejam analisados.

Os 19 grupos com TTPs mapeadas analisados nesse post estão listados abaixo:

8base
BrainCipher
akira
alphv
bianlian
blackbasta
blacksuit
cactus
clop
crosslock
cuba
donex
dragonforce
hunters
medusa
ransomhub
royal
safepay
threeam

Análise da distribuição de táticas

Abaixo, o número de ocorrências de todas as táticas associadas a atividades dos grupos:

Curiosamente, não há mapeamentos para técnicas de TA0043 — Reconnaissance. Isso potencialmente incorre que os grupos analisados utilizam primariamente técnicas passivas3 para esse fim.

Análise da distribuição de técnicas

Abaixo, o número de ocorrências das técnicas mais frequentes (com associações a 5 ou mais grupos):

Não surpreendentemente, a técnica mais frequentemente associada é T1486 — Data Encrypted for Impact. Os únicos dois grupos não associados a ela foram blackbasta e cuba.

Dentre as técnicas listadas, uma que me chamou atenção é T1078 — Valid Accounts: por fazer parte de múltiplas tácticas (quatro no total), observa-se que grupos diferentes foram mapeados à mesma técnica, porém com objetivos distintos. Neste caso, especificamente, temos a seguinte partição:

TA001
Initial Access		TA003
Persistence		TA004
Privilege Escalation
akira🎯
alphv🎯🎯🎯
blacksuit🎯
clop🎯
medusa🎯
safepay🎯🎯🎯
Mapeamento das táticas de grupos utilizando a técnica T1078 — Valid Accounts

Interessantemente, nenhum grupo foi associado a esta técnica almejando a tática TA0005 — Defense Evasion.

Uma partição de táticas similar ocorreu com T1543.003 — Create or Modify System Process: Windows Service, porém em menor grau por esta técnica fazer parte de somente duas táticas.

A proporção entre técnicas base e sub-técnicas dentre as 15 mais frequentes também me intrigou. Técnicas base, por serem mais gerais, possuem maior chance de serem mapeadas a um comportamento observado. Naturalmente, portanto, elas representam a maioria das técnicas mais comuns.

Notavelmente, dentre as sete sub-técnicas presentes nesta listagem, quatro se referem a ações específicas para Windows/PowerShell. Considerando a popularidade do Windows no mercado4, suponho que faça sentido técnicas tão específicas fazerem parte da distribuição das mais comuns.

Conclusão

É importante relevar que os dados aqui analisados não representam a totalidade das complexidades do mundo de cibersegurança. Primeiramente, um mapeamento completo e estático para o comportamento de grupos de ransomware é impraticável. Adicionalmente, o framework ATT&CK não afirma ser uma fonte completa para todos os potenciais comportamentos de adversários5. Em particular, enfatizo o seguinte trecho:

“Don’t limit yourself to the matrix. Remember the ATT&CK matrix only documents observed real-world behaviors. Adversaries may have a series of other behaviors they use that have not been documented yet.”

Apesar da quantidade de dados limitados, foi possível fazer algumas inferências interessantes com as distribuições observadas.

A aplicabilidade dos dados observados para priorização de medidas de segurança, porém, necessita ainda da análise dos mapeamentos entre técnicas e outros elementos. Como citado no início, associações com mitigações seriam um ponto de estudo interessante.

Referências

  1. MITRE. MITRE ATT&CK®. Disponível em: <https://attack.mitre.org>. ↩︎
  2. Ransomware.live 👀. Disponível em: <https://www.ransomware.live>. ↩︎
  3. OGIDI U. O. C. Passive Reconnaissance Techniques. Disponível em: <https://pentescope.com/passive-reconnaissance-techniques/>. ↩︎
  4. SHERIF, A. Windows operating system market share by version 2017-2019 | Statista. Disponível em: <https://www.statista.com/statistics/993868/worldwide-windows-operating-system-market-share/>. ↩︎
  5. General Information | MITRE ATT&CK®. Disponível em: <https://attack.mitre.org/resources/>. ↩︎

Vol. 1 No. 20250425-385 (2025)

Utilização de ferramentas de acesso remoto (RMM)

Pedro Brandt Zanqueta | pedro@cylo.com.br | 25/04/2025

Ataques de phishing é uma das formas mais simples de conseguir um meio de transporte para dentro de um ambiente corporativo. O ataque utiliza de técnicas comportamentais e até sentimentais dos colaboradores, justificando um clique que pode dar uma boa dor de cabeça para a empresa.

Esse tipo de tática executado com sucesso, é seguido por uma técnica de persistência e temos observado que agentes maliciosos estão utilizando ferramentas conhecidas para acesso remoto ao ambiente, dentre elas, Anydesk, TeamViewer, Atera e outros.

Com isso, é possível passar por diversas camadas de segurança, visto que comumente são ferramentas utilizadas pelo próprio time de infraestrutura interno.

Dicas para se proteger desse tipo de tática.

1 – Utilizar software pago com customizações pelo time de infraestrutura, assim você consegue limitar somente de determinados lugares suas estações deverão aceitar conexões;

2 – Bloquear conexões de qualquer outra ferramenta de acesso remoto no firewall, permitindo apenas a que utiliza, isso se ainda for necessário liberar acesso externo;

3 – Seguindo nessa linha, caso sua plataforma permita um servidor interno ou um gateway interno dessa conexão, você limita as conexões apenas internas na rede;

4 – Utilize seu MDM (Mobile Device Management) para permitir apenas execuções dos softwares permitidos;

5 – Configure seu XDR para bloquear executáveis conhecidos diferente do utilizado internamente;

6 – Treinamentos com os colaboradores, essa etapa para mim é essencial a que mais protege o ambiente corporativo.

Referências:

https://www.csoonline.com/article/3487743/attackers-increasingly-using-legitimate-remote-management-tools-to-hack-enterprises.html

https://www.solissecurity.com/en-gb/insights/the-growing-threat-from-remote-access-tools-used-in-ransomware-attacks/

https://attack.mitre.org/techniques/T1219/